Linux і Security, Linux, Операційні системи, статті

Конфігурування tcp-wrapper’а

 Перекрити доступ зовні на вузлову машину: У файл / etc / hosts.deny вставити рядок
ALL : ALL
 Відкрити доступ на вузлову машину з машин локальної мережі
195.0.1.0 У файл / etc / hosts.allow вставити рядки
ALL : \
127.0.0.1
ALL : \
195.0.1.0/255.255.255.0

А якої версії sendmail на вашій машині?

Date: 10 Квітня 97 До речі CERT радить ставити Sendmail 8.8.5. Більш ранні версії дозволяють віддалено виконувати будь-які команди від імені суперкористувача на вашій машині.

* Хто має доступ до консолі Linux може стати суперюзером *

Способи: 0. Завантаження зі своєю завантажувальної дискети 1. Завантаження з single user mode 2. Вказати альтернативну програму init 3. Поставити інший root-partition

1. Booting to single-user mode

LILO: linux single Debian обходить це поправками в / etc / initab, а RedHat - пропускає # What to do in single-user mode. ~~:S:wait:/sbin/sulogin

2. Вказати альтернативну програму init

LILO: linux init=/bin/bash

3. Поставити інший root-partition

LILO: linux root=/dev/hda1 Якщо створити в окремій партіціі всю покладену для кореня структуру, то можна буде з неї завантажитися. Цю можливість можна отримати, наприклад, якщо / tmp монтується в окрему партіцій. Або машина підтримує UMSґ DOS і має досовської розділ.

Лікування

Закрити паролем BIOS-setting і відключити можливість завантажитися з дискети. Закривайте можливість перехоплення LILO-prompt A workaround can be achieved by using PASSWORD and RESTRICT options in /etc/lilo.conf. Увага: / etc / lilo.conf повинен бути root.root 600, щоб ніхто не зміг цей пароль підглянути.

* kerneld and ifconfig *

Команда /sbin/ifconfig module-name дозволяє _любому_ користувачеві завантажити модуль з каталогу / Lib / modules використовуючи kerneld. Лікування: Поки не залікувати в промисловому масштабі. Вимикайте kerneld або явно вказуйте модулі, які можна вантажити, приберіть всі зайві модулі дісталися вам після інсталяції.

Дірка в X

Xserver -xkbdir 'id > /tmp/I_WAS_HERE;' Quick fix: 1. as usual chmod u-s,g-s all installed Xserver binaries (*) 2. use xdm or a SAFE and PARANOID wrapper to start Xserver

Security і lilo

А ви знаєте, що завантажувач lilo може запустити після завантаження root-овий shell? Lilo boot: linux init=/bin/sh rw

Дещо які закривашкі в RedHat 5.2

chmod 700 /usr/sbin chmod 700 /usr/X11R6 chmod -s /usr/lib/emacs/20.3/i386-redhat-linux/movemail rm / usr / libexec / mail.local # - це треба? ніби, procmail вже є. rm / usr / sbin / userhelper # - диряв - шматок GUI для адмінів новачків rpm-Uvf lpr-0.48-0.5.2.i386.rpm # взяти з updates http://www.openwall.com/bind/ rpm -U vixie-cron-3.0.1-37.5.2.i386.rpm ps axuw|grep -i cron root 1151 0.0 0.1 864 416 ? S 21:03 0:00 CROND root 1804 1.5 0.1 864 496 ? S 21:04 0:00 crond непогано б створити групу crontab і -rwsr-x--- 1 root crontab 20200 Aug 27 19:12 crontab ії на файл crontab тоді root.crontab, chmod 4710 /usr./bin/crontab crond'а. поправити ftpaccess'овий regex (щоб з. файлів давав тільки. forward) створювати, а краще - взагалі ніяких. і sendmail (щоб у таких. forward не дозволяв запускати скрипти)

Підозрілі services: Який процес висить на порту

netstat -an | egrep -v ':80 |udp|:53 ' lsof: просунутий fuser (відкриті файли, порти і т.д. ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/ sockstat: (слабший, але простіше) fuser -v 6012/tcp Після злому? Зберегти підозрілі бінарники cp-rpa (з сохр. Дат) strings / objdump egp Мати md5sum'и основних бінарників заздалегідь. Зберегти / var та / tmp як образ розділу на home бувають останки exploits а так же core - на / і / home chmod 700 /backup -- nadeyus', tuda tolko pod root і nosuid для всіх не "/ usr" розділів а то suid'нікі залишаться 153615 7 -rwsr-xr-x 1 root daemon 6711 Jan 10 1999 /home/majordomo/wrapper chgrp mail /home/majordomo/wrapper chmod 4710 /home/majordomo/wrapper X tam nado? net chmod 700 /usr/bin/at chmod 700 chage /usr/bin/gpasswd chmod 0 /usr/bin/ct /usr/bin/suidperl /usr/bin/sperl5.00404 Mprocmail, P=/usr/bin/procmail, F=DFMSPhnu9, S=11/31, R=21/31,T=DNS/RFC822 bukva "S" est' poetomu: chgrp mail /usr/bin/procmail ; chmod 2710 /usr/bin/procmail 14937 54 -rwsr-sr-x 1 root mail 54412 Aug 17 1998 /usr/bin/procmail Якщо procmailrc потрібен ще з shell, то робимо одну - тільки root + setuid а іншу 711. sendmail нехай перший chmod 700 /usr/bin/minicom chmod 700 /usr/bin/rcp /usr/bin/rlogin /usr/bin/rsh chmod 700 /usr/bin/chfn /usr/bin/chsh в 5.2redhat в procmail є дірки chsh, chfn - конкретні переповнення про довгі рядки в passwd suidperl - конкретні діри, невиліковно at - просто так: потенційно небезпечно, складно стежити, і без atd не працює в 5.2 - CRONTAB! root тривіально через MAILTO vixie cron is broken, da до 5.2 є update ot RH chmod 700 / bin / * mount / bin / login # за отсутстжіем сенсу chmod -s /sbin/netreport chmod 700 /sbin/cardctl # hardwarespecific в 2.0 securelevel а в 2.2 cap-bound Це обмеження доступу до системи навіть для roota не можна буде змінювати атрибути поставлені chattr cat /proc/sys/kernel/securelevel

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*